Ca ne va pas du tout : ton strip_tags te protège partiellement des XSS quand c'est des injections SQL dont tu devrais te protéger (en clair ce serait injections land là).
Remplaces avant tout tous tes ' . $get . ' par ' . $bdd->quote($get) . '.
Vires tes strip_tags. Et sur style-precision vu que ce n'est pas un identifiant SQL valide (pas de tiret !), soit tu renommes ta colonne soit tu écris partout `style-precision`. Si vraiment tu voulais te protéger des XSS, c'est des htmlspecialchars qu'on devrait trouver sur les echo [des valeurs tirées de la bdd] dans le while.
Pour simplifier et ne pas avoir à gérer le AND, tu pouvais passer par un tableau (exemple).
ça se voit tant que ça que je suis debutant ^_^ j'ai commencé il y a 2s emaine donc j'ai pas encore tout assimilé mais merci des conseils et des liens, je vais essayer d'arranger ça ^_^
Oui, en même temps je t'avais donné la correction ... Par contre, tu n'as pas compris le reste :
tu n'as pas corrigé l'invalidité de ton identifiant SQL = requête qui plante à coup sûr quand isset($_GET['style-precision']) est vrai
tu n'as toujours pas compris ce qu'est une XSS : je te répète qu'elles sont à prendre en compte à l'affichage (echo & co), ça n'a rien à voir avec les requêtes SQL (google it) => tes htmlspecialchars sont au mauvais endroit (autrement dit, ils ne servent à rien)
Ca aurait été bien quand même de vérifier que isset($_GET['categorie']) est vrai avant de chercher à l'utiliser.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli
julp.fr ~ PHP < 8.0.0 : activer les erreurs PDO/SQL ~ PHP < 8.1.0 : activer les erreurs mysqli